[U-04] 비밀번호 파일 보호

★ 주요정보통신기반시설 가이드 [U-04] 유닉스/리눅스 보안 설정

• 1. 항목 개요 및 보안 위협 (KISA 가이드)
• 2. OS별 기술적 조치 방법 (Linux, AIX, HP-UX 등)
• 3. 관련 법령 및 지침 근거
• 4. 오늘 공부하며 정리한 핵심 포인트

 

1. 항목 개요 및 보안 위협

 

출처 : 한국인터넷진흥원 (KISA) 기술적 취약점 분석·평가 가이드

[ 점검 내용 ] : 패스워드 정보가 저장된 파일의 소유자, 권한 설정 및 Shadow Password 사용 여부 점검

[ 보안 위협 ] : 비밀번호가 암호화되어 있지 않거나 '/etc/shadow' 파일의 권한이 취약할 경우, 공격자가 계정 패스워드를 탈취하여 시스템 권한을 장악할 수 있습니다.

 

2. OS별 기술적 조치 방법

A. LINUX / SOLARIS

Step 1 : /etc/passwd 파일 내 두 번째 필드가 'x' 표시되는지 확인 (Shadow 적용 여부)

# 확인 예시
root:x:0:0:root:/root:/bin/bash

Step 2 : 쉐도우 패스워드가 미적용된 경우 아래 명령어로 적용

# pwconv (Shadow Password 적용)
# pwunconv (Shadow Password 해제 - 보안상 비권장)

B. AIX 환경

AIX는 기본적으로 /etc/security/passwd 파일에 비밀번호를 별도로 암호화하여 저장합니다.

# 파일 존재 및 암호화 여부 확인
ls -l /etc/security/passwd

C. HP-UX 환경 (Trusted Mode)

HP-UX는 **Trusted Mode**로 전환하여 `/tcb/files/auth` 디렉터리에 계정 정보를 별도 관리할 수 있습니다.

# Trusted Mode 전환 (root 권한)
/etc/tsconvert

# UnTrusted Mode 전환 (원복 시)
/etc/tsconvert -r

★ 공통 필수 파일 권한 설정 (Best Practice)

• /etc/passwd : 소유자 root, 권한 644 (모든 계정 정보 확인용)
• /etc/shadow : 소유자 root, 권한 400 또는 000 (암호 해시 보호)
• /etc/security/passwd (AIX) : 소유자 root, 권한 600

 

3. 관련 법령 및 지침 근거

• 개인정보의 안전성 확보조치 기준(제4조 접근 권한의 관리) : 권한이 없는 자의 개인정보 접근을 통제하기 위한 기술적 대책 마련 필수
• 국가 정보보안 기본지침 : 주요 설정 파일 및 데이터 파일에 대한 접근 권한 설정 의무화

 

4. 오늘 공부하며 정리한 핵심 포인트

• Shadow Password의 의미 : /etc/passwd 파일의 두 번째 필드에 패스워드가 기록되지 않고 'x'로 표시되면 시스템이 성공적으로 해시값을 보호하고 있다는 뜻입니다.
• OS별 차이점 숙지 :
  • Solaris 11 : pwunconv 명령어가 존재하지 않으므로 주의가 필요합니다.
  • HP-UX 11.11 : Shadow Password Bundle이 설치되어야 /etc/shadow 파일이 생성됩니다.
• 실무 팁 : 계정 생성 시 자동으로 Shadow 정책이 적용되는지 테스트가 필요하며, 수동 작업 시 파일 백업은 필수입니다.

다음 공부 기록 예고 : [U-05] root 이외의 UID가 0인 계정 존재 여부